Apenas ha pasado una semana desde que salió a la luz la
noticia y los ciberdelincuentes ya han decidido emplear el malware que se
utilizó para robar los datos de los ordenadores de Sony Pictures contra
usuarios particulares. Algunos correos spam analizados contenían la variante
utilizada en dicho ataque, llamada WIPALL, una aplicación maliciosa
perteneciente a una familia bastante amplia de virus informáticos.
Hasta el momento, solo se sabe que se está
distribuyendo sobre todo haciendo uso de correos electrónicos, afectando a
Europa y Estados Unidos, aunque la tasa de infección en el primero de los casos
es ínfima, y solo habría que destacar apenas una docena de casos en algunos
países nórdicos. Sin embargo, en Estados Unidos esta es mucho mayor y además de
los usuarios particulares también se están viendo afectados empleados de
grandes compañías. La finalidad de este malware es una: robar los datos
almacenados en los equipos. Sin embargo, después de realizar dicha acción la
siguiente tarea es eliminar por completo el disco duro, y por lo tanto, que el
usuario pierda los datos almacenados.
Sin lugar a dudas es con este tipo de virus cuando
somos conscientes lo importante que resulta disponer de una copia de seguridad
de la información de nuestro equipo.
Permisos de administrador e
instalarse de forma persistente en el equipo
- Desde Trend Micro han tenido la oportunidad de analizar parte del funcionamiento de una de las copias de este virus, concretando que en primer lugar se produce la descarga de WIPALL, pero que no es el único archivo que se descarga, ya que posteriormente se realiza la descarga de BKDR_WIPALL.B. Desconocen la finalidad del primero de los ejecutables, aunque se cree que sería una especie de archivo lanzadera para comprobar la existencia de herramientas de seguridad en el equipo infectado.
- Después de realizar la descarga del segundo se buscan permisos de administrador para este y se comienza a instalar en el equipo de forma persistente, ejecutándose cada vez que un usuario de dicho equipo inicie sesión. La primera misión es detener cualquier sistema de sincronización o backup que se encuentre activo. Posteriormente permanece inactivo durante aproximadamente 10-15 minutos, comenzando a borrar las carpetas y sus archivos de forma gradual.
- Por el momento no se sabe en qué momento se realizaría el envío de la información contenida en el equipo a un servidor remoto, si es que esta acción es realizada.
- Teniendo en cuenta que en el caso del hackeo masivo realizado a los equipos de la filial de Sony la responsabilidad se atribuyó a Guardians of Peace, todo parece apuntar en un principio que ellos han sido los responsables de esta oleada. Sin embargo, el grupo de hackers ubicados en Corea aún no se han pronunciado, por lo tanto es un aspecto que aún queda en el aire.